Cada segon dimarts de febrer se celebra el Safer Internet Day, una jornada impulsada per la Unió Europea que posa el focus en la seguretat digital, especialment en l’ús responsable d’Internet entre infants i joves. Però en un moment de transformació accelerada dels serveis públics i privats, hi ha un àmbit crític que sovint queda fora del debat: la seguretat de les dades mèdiques en un sistema sanitari que adopta intel·ligència artificial a gran escala.

Les xifres són contundents. Només el 2024, més de 275 milions d’historials mèdics van quedar exposats en bretxes de seguretat, un 63,5% més que l’any anterior, segons dades de The HIPAA Journal. A més, tal com apunta Patient Protect, un registre mèdic pot arribar a tenir un valor fins a deu vegades superior al d’una targeta de crèdit al mercat negre, per la quantitat i sensibilitat d’informació que conté.

En el marc del Safer Internet Day, la seguretat digital ja no és només una qüestió de xarxes socials o menors: la protecció de les dades mèdiques s’ha convertit en un dels grans reptes crítics de l’era de la intel·ligència artificial en sanitat.

En aquest context, la pregunta ja no és si la intel·ligència artificial ha d’entrar als hospitals —perquè ja ho està fent—, sinó com garantir que la seva integració no amplifiqui els riscos.

Infraestructura preparada, però amb condicions

Segons Jorge Pérez, portaveu de Tandem Health, el debat sobre la seguretat no pot limitar-se només a la tecnologia:“Som plenament conscients que el dato sanitari és un dels més sensibles que existeixen. Per això, qualsevol solució que tracti informació clínica ha d’incorporar els mecanismes de ciberseguretat i protecció de dades més robustos disponibles.”

Des de la companyia defensen un enfocament de privacy by design, en què la informació clínica es tracta de forma desvinculada de la identitat del pacient: “La nostra solució és deliberadament ‘cega’ a la identitat del pacient. La vinculació només es produeix quan el professional sanitari bolca les dades al sistema d’història clínica electrònica.”

“El debat ja no és si la intel·ligència artificial ha d’entrar als hospitals, perquè ja hi és, sinó com garantir que la seva adopció no amplifiqui els riscos sobre unes dades extremadament sensibles com són les clíniques.”— Jorge Pérez, portaveu de Tandem Health

A això s’hi suma la importància del compliment normatiu. Pérez alerta que una de les grans mancances actuals és la interpretació insuficient de la regulació europea en matèria de seguretat clínica i producte sanitari, i subratlla el valor del marcat CE i del Esquema Nacional de Seguretat (ENS) com a elements clau de garantia.

Una nova superfície d’atac… però no necessàriament més risc

La introducció de models d’IA en processos clínics obre nous vectors de risc, però no implica automàticament un entorn menys segur.“Molts desplegaments de software tradicional mal integrats poden ser igual o fins i tot més arriscats que la IA”, apunta Pérez.

El factor humà, però, esdevé crític. El professional sanitari passa a ser usuari de noves eines, sovint basades en entorns cloud, fet que exigeix formació bàsica en ciberseguretat i protecció de dades. En el cas de la IA generativa, una de les grans preocupacions és el prompt injection, un risc que, segons Tandem Health, s’evita amb models sense memòria persistent ni entrenament amb dades de pacients.

Del pilot a la realitat assistencial

Un altre dels errors habituals és confondre una prova de concepte amb una solució preparada per operar a gran escala. “Una demo pot funcionar molt bé en un entorn controlat, però això no vol dir que estigui llesta per integrar-se en la complexitat d’un gran sistema sanitari”, assenyala Pérez.

“En sanitat, la ciberseguretat és imprescindible, però també ho és la seguretat clínica: qualsevol solució d’IA ha d’estar regulada, certificada i pensada des del disseny per protegir el pacient.”

La clau, diu, és la gestió del canvi, l’acompanyament continu i la implicació dels equips d’operacions i innovació dels propis centres sanitaris. No és només una qüestió tecnològica, sinó organitzativa.

La IA com a escut… i com a arma

La intel·ligència artificial també pot jugar un paper defensiu: “Ben utilitzada, la IA és una eina molt potent per detectar patrons anòmals, accessos sospitosos o comportaments fora del normal”, explica Pérez.

Tanmateix, també pot ser utilitzada per actors maliciosos per sofisticar atacs. La diferència, insisteix, rau en qui controla la tecnologia i amb quins criteris ètics i de seguretat.

Mirant cap al 2026

De cara als pròxims anys, el missatge és clar: cal reforçar els estàndards, exigir experiència real als proveïdors i no perdre de vista la seguretat clínica. “En sanitat, la ciberseguretat és crítica, però també ho és la seguretat del pacient. Per això, qualsevol solució d’IA ha de comptar amb marcat CE com a producte sanitari.”

En un Safer Internet Day tradicionalment associat a xarxes socials i protecció del menor, la sanitat digital emergeix com un dels grans reptes silenciosos de la seguretat a Internet. Un repte que no admet improvisacions i que exigeix rigor tecnològic, regulatori i ètic.